Technikos pasaulio stebėtojai sako, kad ši spraga, apie kurią „Apple“ tyliai pranešė penktadienį, rodo, kad kompanijos stipraus saugumo reputacija gali būti pervertinta.
„Žmonės bendrai linkę manyti: „Tai „Apple“, taigi tai saugu“, – sakė Brianas Bourne'as, vienas iš kasmetinės kibernetinio saugumo konferencijos „SecTor“, vykstančios Toronte, rengėjų.
„Kadangi iš tiesų „Apple“ veikia toje pat srityje, kaip ir kitos programinės įrangos kūrėjos, jiems lygiai taip pat kyla saugumo spragų rizika, kaip ir visiems kitiems“, – pridūrė jis.
Johannesas Ulrichas, „Internet Storm Center“ tyrimų vadovas, stebintis internetines grėsmes, „Apple“ saugumo reputaciją vadina mitu.
Populiarumo kaina
B.Bourne'as pastebi, kad „Apple“ saugumo reputaciją užsitarnavo iš esmės dėl to, jog jos operacinės sistemos labiau apriboja, ką gali daryti įdiegtos programos.
Bet klientų susižavėjimas tokiais mobiliaisiais produktais, kaip „iPhone“ ir „iPad“, padarė „Apple“ patrauklesniu programišių taikiniu, sako Ursas Hengartneris, Vaterlo universiteto kompiuterijos mokslo departamento asocijuotasis profesorius.
„Daugumą įsilaužimo galimybių sukuria ir įgyvendina nusikaltėliai, iš to darantys pinigus, tad jie taikosi į populiarias platformas“, – sakė jis.
Profesorius pastebėjo, kad bent jau paviešintų saugumo spragų nebuvo tiek daug, kaip „Windows“ atveju. Bet jis antrina programinės įrangos bendruomenės daugumai, teigiančiai, kad kai „Apple“ aptinka problemą savo kode, su pataisymais neskuba.
Lūžio taškas
B.Bourne'as pažymi, kad „Apple“ reputacija nėra stipri kibersaugumo bendruomenėje, jungiančioje interneto svetaines ir forumus, kuriuose pranešama apie spragas ir dalinamasi pataisomis.
„Manau, kad didžioji dauguma žmonių, kurie stengiasi pranešti apie programinės įrangos pažeidžiamumus „Apple“, liko sumišę, – sakė B.Bourne'as. – Jie nedalyvauja saugumo bendruomenėje taip, kaip kitos kompanijos, ypač „Microsoft“, kuri aktyviai diskutuoja su bendruomene, ieškodama spragų ir greitai jas ištaisydama.“
Saugumo požiūriu „Microsoft“ per pastarąjį dešimtmetį itin smarkiai pažengė į priekį, sako B.Bourne'as. Dešimtajame XX a. dešimtmetyje ir naujojo tūkstantmečio pradžioje „Microsoft“ išleisdavo tiek daug savo operacinės sistemos saugumo pataisymų, kad jiems buvo suteiktas atskiras pavadinimas – „Pataisų antradieniai.“ Mat šie atnaujinimai buvo platinami kiekvieno mėnesio antrąjį antradienį.
J.Ulricho teigimu, „Microsoft“ lūžio momentas buvo „Blaster“ internetinis kirminas, užkrėtęs „Windows XP“ ir „Windows 2000“ naudojančius kompiuterius 2003-ųjų rugpjūtį. Užkrėtimų mastas privertė „Microsoft“ sutelkti didesnį dėmesį savo operacinių sistemų saugumui.
U.Hengartneris mano, kad su naujausia „iOS“ saugumo spraga, „Apple“ galėjo pasiekti panašų tašką: „Jie dabar yra tokioje pat situacijoje, kokioje „Microsoft“ buvo prieš 10–15 metų.“
Skylę užlopė
„Apple“ naujausia saugumo spraga buvo paviešinta penktadienį, kai buvo išleista „iOS 7.0.6“ versija. Kompanija paaiškino, kad joje ištaisomas nesklandumas, susijęs su saugiu naršymu: „Atakuotojas, turintis privilegijuotą poziciją tinkle, gali perimti ar pakeisti duomenis „SSL/TLS“ apsaugotose sesijose.“
„SSL/TLS“ yra šifravimo standartas, leidžiantis naršyklei susisiekti su tinklo serveriu ir patikrinti, ar tinklalapis nėra padirbtas ir sukurtas interneto sukčių, siekiant vogti asmeninę informaciją iš jūsų kompiuterio ar mobiliojo įrenginio. Jį naudoja bankai, kredito kortelių kompanijos ir vyriausybinės agentūros, siekdamos išlaikyti ryšių slaptumą.
Ši spraga leido vykdyti vadinamąją „žmogaus viduryje“ ataką. Programišiai naršyklei galėjo nusiųsti suklastotą sertifikatą, kad ši patikėtų, jog ryšys yra saugus, ir perimti bendravimą tarp naršyklės bei interneto puslapio. Įsilaužėliai tuomet galėjo vogti įvairią informaciją – sekti asmeninius pokalbius, internete atliekamus veiksmus, rinkti asmeninę informaciją ir net el. bankininkystės prisijungimo duomenis.
Kadangi spraga „iOS“ sistemoje savaitgalį buvo ištaisyta, atnaujinimą įsidiegę „iPhone“ ir „iPad“ naudotojai galėjo jaustis saugiau. Tačiau paaiškėjo, kad ji vis dar buvo aktuali „Mac“ kompiuterių savininkams.
Vakar paskelbta apie „OS X“ atnaujinimą, kuris ištaiso šią klaidą, taigi jį rekomenduojama įsidiegti visiems „Mac“ naudotojams.